Wer in den letzten Tagen MCP-Server mit OAuth-Authentifizierung genutzt hat, kennt das Problem vielleicht: Nach einer Weile verliert Claude Code plötzlich die Verbindung und du musst dich neu einloggen. Mit Version 2.1.136 ist das Geschichte.
Das OAuth-Problem
Der Bug war besonders ärgerlich, weil er nicht sofort auffiel. Wenn mehrere MCP-Server gleichzeitig liefen und ihre OAuth-Tokens erneuern wollten, kam es zu einer Race Condition — die Token-Aktualisierung eines Servers überschrieb die eines anderen. Das Ergebnis: Plötzlich war die Authentifizierung weg, und Claude Code forderte zum erneuten Login auf.
Dazu kam ein zweiter OAuth-Bug: Der Login-Flow konnte in eine Endlosschleife geraten. Beides ist mit 2.1.136 gefixt.
Neues Sicherheitsfeature: hard_deny
Spannender für den Alltag ist die neue settings.autoMode.hard_deny-Einstellung. Bisher konnte man im Auto-Modus Regeln definieren, welche Tools Claude nicht automatisch ausführen soll. Aber Claude konnte trotzdem nachfragen und die Aktion mit Bestätigung durchführen.
Mit hard_deny ist das anders: Tools auf dieser Liste werden komplett geblockt — ohne Rückfrage, ohne Ausnahme. Wer zum Beispiel sicherstellen will, dass Claude nie eigenständig rm -rf ausführt, hat jetzt eine harte Grenze dafür.
Windows-Fix für VSCode
Einen Tag später, mit Version 2.1.137, kam ein Fix speziell für Windows-Nutzer: Die VSCode-Extension konnte unter Windows nicht aktiviert werden. Ein kurzes, aber wichtiges Update — besonders weil die VSCode-Integration für viele der Hauptzugang zu Claude Code ist.
Außerdem gefixt
Ein kleinerer, aber nerviger Bug wurde ebenfalls behoben: MCP-Server verschwanden nach dem /clear-Befehl aus der Session. Wer regelmäßig seinen Kontext aufräumt, musste die Server danach neu verbinden. Das passiert jetzt nicht mehr.
Quellen: